Audit de code & SAST

Ton code, lu. Ligne par ligne. Sans pitié.

Audit de code source, scan SAST, revue OWASP Top 10, supply chain (SBOM, dépendances), secrets, crypto, API security. Rapport CVSS-scoré avec patches prêts à committer. Semgrep, CodeQL, Snyk, SonarQube.

Demander un audit 🔒 Voir notre méthode

OWASP Top 10 · ASVS · CWE
Semgrep · CodeQL · Snyk · SonarQube
Supply chain · SBOM · CVE tracking
Rapport CVSS-scoré + patches

auth/login.ts main

12131415 16171819 20212223

const user = await db.query( `SELECT * FROM users WHERE id=${id}` );SQLi · CVE-2026-0142 if (user.password === input) // ⚠ timing return signJwt(user, "hs256-secret"); JWT weak · CVE-2026-0287 const file = req.body.path; fs.readFile(file, "utf-8"); // no input validation res.send(fs.readFileSync(file));Path traversal · CVE-2026-0314 const hash = md5(password); return hash;

CVSS 9.8 CVSS 7.5 FIXED ✓ FIXED ✓

Le contexte

Une vuln moyenne reste 270 jours dans le code avant d'être trouvée.

En 2026, 70 % des breaches passent par le code applicatif : injection SQL oubliée, secret AWS commité dans un .env historique, dépendance vulnérable jamais bumpée, JWT signé en HS256 avec un secret de 8 caractères. Le code, c'est la surface d'attaque la plus large — et la moins auditée chez la plupart des équipes.

Les fondamentaux sont connus : OWASP Top 10, ASVS, code review, dependency pinning, SAST/DAST en CI, secrets jamais en clair, crypto via lib éprouvée. Mais entre « on suit OWASP » et « on a vraiment relu chaque endpoint d'auth, chaque parseur de fichier, chaque appel à eval », il y a un gouffre. Les devs livrent des features, pas du durcissement.

On fait l'audit à ta place. Semgrep + CodeQL + Snyk + revue manuelle sur les endpoints critiques. Gitleaks sur l'historique git complet. Trivy/Dependency-Track sur les images & le SBOM. Rapport actionnable, classé CVSS, avec patches prêts à committer. PR de durcissement possibles si tu veux.

200+

Règles SAST

Semgrep registry + CodeQL + règles custom OmniX AI couvertes

< 5j

Délai rapport

Repo monorepo ~200k LOC audité en 5 jours ouvrés

100%

Findings vérifiés

Chaque vuln rejouée manuellement avant inclusion dans le rapport

Faux positif silencieux

On filtre les bruits SAST avant de te livrer quoi que ce soit

Ce qu'on audite

Six axes de revue de code.

L'audit couvre toute la surface logicielle : applicatif, dépendances, secrets, crypto, auth, API.

⛨ OWASP

OWASP Top 10

Le socle minimum.

Injection (SQL, NoSQL, command, LDAP), Broken Access Control (IDOR, role bypass), Crypto Failures, SSRF, Insecure Design, Security Misconfiguration. Revue manuelle ciblée sur les endpoints sensibles + scan Semgrep/CodeQL.

⛨ Supply

Supply chain

SBOM, dépendances, CVE.

Génération SBOM (CycloneDX), scan dépendances directes & transitives (Snyk, Trivy, Dependency-Track), détection des packages typosquattés, vérification des signatures (Sigstore, npm provenance), pinning versions.

⛨ Secrets

Secrets scanning

Zéro clé en clair.

Scan git history complet (gitleaks, TruffleHog), détection des secrets en config, env vars, Helm charts, Terraform state. Audit Vault/Secrets Manager. Recommandations de rotation et de hook pre-commit.

⛨ Crypto

Crypto review

Algos éprouvés, pas DIY.

Audit des choix d'algorithmes (signature, hash, KDF, chiffrement symétrique/asymétrique). Détection MD5/SHA1, ECB, JWT HS256 faible, RNG non sécurisé. Recommandation Argon2, AES-GCM, Ed25519, libsodium/OpenSSL.

⛨ Auth

Auth & session

JWT, OAuth, sessions.

Revue des flows OAuth 2.1, OIDC, SAML, gestion des refresh tokens, scopes, audience, expiration. Audit des cookies (HttpOnly, Secure, SameSite), CSRF, fixation, replay. Validation MFA et password policy.

⛨ API

API security

REST, GraphQL, gRPC.

Revue endpoints : rate limiting, validation d'input, mass assignment, IDOR, exposition de PII. OWASP API Top 10. GraphQL : profondeur, complexité, batching attacks. gRPC : auth interceptor, TLS mutuel.

Notre approche

Cinq étapes, du scoping au rapport priorisé.

On cadre le périmètre, on scanne, on rejoue manuellement, on tente l'exploit, on livre un rapport classé CVSS.

Scoping (2 j)

Cadrage des repos à auditer, des langages, du périmètre (auth, paiement, upload, API publique). Mise en place d'un accès en lecture seule au code et à l'historique git. Définition du modèle de menace adapté au produit.

✓ Périmètre signé + modèle de menace + plan d'audit

Static analysis (2-3 j)

Exécution Semgrep (rulesets OWASP, secrets, security-audit), CodeQL (langages compilés), Snyk (deps + container), Gitleaks (git history complet), Trivy (images & IaC). Cross-référence des findings. Filtrage des faux positifs.

✓ Findings bruts + scoring CVSS + faux positifs filtrés

Manual review (3-5 j)

Revue manuelle ciblée sur les zones sensibles : endpoints d'auth, paiement, upload de fichiers, parseurs, appels système, deserialization. Analyse du flow complet (input → sink). Identification des logic bugs invisibles aux SAST.

✓ Findings manuels + cartographie data flow

Exploit attempts (1-2 j)

Pour les findings critiques : PoC d'exploitation en environnement isolé (sandbox, copie de la prod). Validation de l'impact réel (RCE, vol de données, escalade de privilèges). Documentation des étapes de reproduction.

✓ PoC vérifiés + preuves d'impact

Rapport priorisé (1-2 j)

Rapport final classé CVSS + business impact. Chaque finding avec : description, reproduction, impact, patch proposé (diff prêt à committer si possible). Executive summary + restitution tech 1 h + plan de remédiation séquencé.

✓ Rapport CVSS-scoré + patches + restitution

Outils utilisés

Les outils qu'on utilise vraiment.

Combinaison de SAST open-source matures, de scanners commerciaux, et de revue manuelle.

SAST multi-langage

Semgrep · SonarQube · CodeQL

Semgrep pour les règles rapides custom (yaml). SonarQube pour la qualité + bugs sécurité. CodeQL (GitHub) pour les langages compilés et les data-flow analysis avancées.

Dépendances & SBOM

Snyk · Trivy · Dependency-Track · Syft

Snyk pour les CVE deps + licences. Trivy pour les images Docker et IaC. Dependency-Track pour suivre les SBOM dans le temps. Syft génère le SBOM en CycloneDX/SPDX.

Secrets scanning

gitleaks · TruffleHog · detect-secrets

gitleaks scan git history complet (commits anciens). TruffleHog idem + entropy detection. detect-secrets pour la CI/CD avec baseline pour éviter le bruit.

DAST & API

OWASP ZAP · Burp Suite · Nuclei

ZAP pour le scan DAST automatisé. Burp Suite pour l'exploration manuelle + scan actif. Nuclei pour les templates CVE rapides sur l'API exposée.

Container & IaC

Trivy · Checkov · Hadolint · Grype

Trivy scan images + filesystem. Checkov pour Terraform/K8s manifests. Hadolint pour Dockerfile best-practices. Grype en backup CVE scan.

Crypto & spécifiques

cryptosense · jwt_tool · ssh-audit · sslyze

cryptosense pour détecter les usages crypto faibles. jwt_tool pour stress-tester les JWT. ssh-audit/sslyze pour l'audit TLS/SSH côté serveur.

Garanties chiffrées

Quatre engagements contractuels.

100%

Fichiers critiques relus

Tout fichier identifié comme sensible (auth, paiement, upload, crypto) est lu manuellement, pas juste scanné.

< 5j

Rapport CVSS-scoré

Repo de taille moyenne (jusqu'à 200k LOC) audité et rapport livré sous 5 jours ouvrés après le scoping.

Code exfiltré

Audit en lecture seule via accès dédié (deploy key, fork privé). Aucun code stocké hors de notre infra durcie.

30 j

Re-scan inclus

30 jours après livraison, re-scan offert pour valider que les patches appliqués corrigent bien les findings critiques.

Tarification

Chaque projet est unique. Le devis aussi.

Plutôt que des forfaits abstraits, on cadre selon ton contexte : périmètre, complexité, délais, contraintes. Tu nous écris en 3 phrases ce que tu veux faire — on te revient avec un devis ferme sous 48h ouvrées.

Réponse sous 48 h ouvrées Demander un devis →